執行身分服務帳戶
執行身分服務帳戶 Tableau Server 在存取資源時使用的 Windows 帳戶(「執行身分」)。舉例來說,Tableau Server 會讀寫安裝了 Tableau Server 的電腦上的檔案。從 Windows 的角度來看,Tableau Server 執行此操作使用的是執行身分服務帳戶。在某些情況下,Tableau Server 可能會使用執行身分服務帳戶存取外部來源中的資料,例如共用網路目錄上的資料庫或檔。
排程 Tableau Server 部署時,您需要確定設定為在本機網路服務帳戶 (NT Authority\Network Service) 上下文中執行的預設執行身分服務帳戶是否將滿足您的需求。如果它不滿足您的需求,則您將需要更新執行身分服務帳戶,以使用能夠存取 Active Directory 網域中的資源的域帳戶來執行。
附註:從 Tableau Server 版本 2023.3.x 開始,如果將「執行身分」服務帳戶設定為使用網域帳戶,管理員還必須使用 tsm configuration set
命令為檔案存取設定伺服器允許清單。允許清單將基於檔案的資料來源存取限制為指定的本機或共用目錄路徑。有關設定伺服器允許清單的詳細資訊與步驟,請參閱 安全強化檢查清單。
在任何一種情況下,瞭解 Tableau Server 用於執行身分服務帳戶的帳戶的安全含義很重要。具體而言,如果 Tableau Server 需要存取使用 Windows 驗證的其他伺服器、檔共用或資料庫,則為執行身分服務帳戶設定的帳戶將用於存取這些資源。為執行身分服務帳戶設定的帳戶還必須具有本機 Tableau Server 的提升使用權限。一般的最佳安全做法是將所有使用者帳戶的範圍局限於所需的最低權限。當您排程執行身分服務帳戶時,我們向您提供同樣的建議。有關詳情,請參閱使用「執行身分」服務帳戶進行資料存取。
用來執行身分服務帳戶的帳戶,不應該是本機管理員或網域管理員帳戶的成員。反而建議使用非管理員的網域使用者帳戶作為執行身分服務帳戶。使用非屬於這些管理員群組的網域帳戶是一種很好的安全做法,有助於避免存取某些資料來源和文件夾。有關建立執行身分服務帳戶時最佳做法的詳情,請參閱建立執行身分服務帳戶。
可以在 Tableau Server 安裝過程中設定執行身分服務帳戶,也可以使用 TSM Web UI 更新執行身分服務帳戶。Tableau Services Manager 將為執行身分服務帳戶設定使用權限,但如果您不確定要為執行身分服務帳戶使用的帳戶是否滿足要求,或者您變更了執行身分服務帳戶並收到使用權限錯誤,請參閱所需的執行身分服務帳戶設定。
預設執行身分服務帳戶:網路服務
網路服務帳戶是所有 Windows 電腦上存在的具有有限使用權限的預定義本機帳戶。雖然它對執行時所在的本機計算機具有有限的管理存取權限,但與 Active Directory 預設使用者組的成員相比,它對資源具有更多的存取權限。例如網路服務組可以寫入登入、事件記錄中,並且具有應用程式服務登入的特殊使用權限。
預設情況下,執行身分服務帳戶已設定為稱為網路服務的本機帳戶。以下情況下使用預設網路服務帳戶:
對 Tableau Server 使用本機驗證。
- 組織中的所有使用者都在要上載到 Tableau Server 的工作簿中包括擷取的資料。
- 您在單伺服器部署中執行 Tableau Server。
- 您的使用者透過 Tableau Server 存取的外部資料來源不需要 Windows NT 整合安全性或 Kerberos。在大多數資料存取方案中,Microsoft SQL Server、MSAS、Teradata 和 Oracle 資料庫需要 Windows NT 整合安全性。
雖然網路服務帳戶可用於存取同一 Active Directory 網域內遠端電腦上的資源,但是我們不建議對此類方案使用預設帳戶。如果 Tableau Server 必須連線到您的環境中的資料來源,則改為設定執行身分服務帳戶的域帳戶。請參閱變更執行身分服務帳戶。
執行身分服務帳戶:域使用者
對於所有 Active Directory 方案,我們建議使用域使用者帳戶更新 Tableau Server 執行身分服務帳戶。透過 Tableau Server 存取的資料來源需要 Windows NT 集成安全性或 Kerberos 時,請將執行身分服務帳戶更新為域使用者帳戶。
如果您已進行了 Tableau Server 的分散式部署,則必須更新域使用者或 Windows 工作群組使用者的執行身分服務帳戶。在任何一種情況下,您必須對所有伺服器節點使用相同的使用者帳戶。有關詳情,請參閱分散式要求。
若要將您的環境設定為使用域帳戶,請參閱變更執行身分服務帳戶。